使用'tcpdump' 查看原始数据包
虽然像 Snort 这样的工具在筛选通过我们网络的所有内容方面做得非常出色, 但有时需要查看原始数据. 为此, 我们最好的工具是 "tcpdump".
使用 tcpdump 最基本的方法是简单地发出命令:
您可以使用 -v 选项获得更多详细信息, 使用 -vv 可以获得更多信息.
有用的选项
假设您已登录到您管理的远程计算机. 通常, 您将使用 SSH. 如果您在没有任何选项的情况下运行 "tcpdump", 则输出将被来自您的 SSH 连接的数据包淹没. 为避免这种情况, 只需从输出中删除端口 22:
您可以使用许多不同的端口来执行此操作:
代码:
tcpdump not port 143 and not port 25 and not port 22
如果你想做相反的事情, 即只监视某个端口 -- 这对调试网络应用程序很有好处 -- 你可以执行以下操作:
您还可以从网络上的特定主机获取数据:
如果您的机器有多个网络接口, 您还可以指定要收听的一个:
您还可以指定协议:
您将在 /etc/protocols 中找到协议列表.
为以后保存输出
在某些情况下, 您可能希望将输出重定向到一个文件, 以便以后可以详细研究它或使用其他程序来解析输出. 在以下示例中, 您仍然可以在将输出保存到文件时查看输出:
代码:
tcpdump -l | tee tcpdump_`date +%Y%m%e-%k.%M`
在上面的示例中, 我们可以使用日期和时间来识别每个转储. 在处理一天中某些时间出现的问题时, 这可能会派上用场.
tcpdump 还可以选择将其输出转储为二进制格式, 以便以后读取. 创建二进制文件:
代码:
tcpdump -w tcpdump_raw_`date +%Y%m%e-%k.%M`
稍后, 您可以使用 tcpdump 读取文件
代码:
tcpdump -r tcpdump_raw_YYYMMDD-H.M
您还可以使用 ethereal 程序打开原始转储并对其进行解释. 我们将在下一节中更多地讨论空灵.
要查找的内容
tcpdump 为我们提供了有关进出我们网络的所有数据包的信息. 但这一切意味着什么?
将 Ethereal 与 tcpdump 结合使用 Ethereal
是一个也可用于捕获网络数据包的工具. 安装后, 您可以打开您制作的原始转储文件. 它看起来像这样:
这使得查看正在发生的事情变得相当容易. 您可以看到源 IP 和目标 IP 是什么以及它是什么类型的数据包. 然后很容易解决您可能遇到的网络问题并分析可疑行为. 顺便说一句, 当我在写这节课并解释我自己的转储时, 我在我的个人工作站上看到了一些奇怪的活动. 几乎每隔一段时间, 我就会在世界上不同 IP 的机器上查询端口 32772. 我为端口 32772 运行了一个特定的转储, 如下所示:
代码:
tcpdump port 32772 -w dump_32772
我得到的确实看起来很奇怪. 即使在谷歌搜索之后, 我也找不到任何相关信息, 所以我怀疑我可能有木马. 我运行了 "rootkit hunter"(下一节将详细介绍), 但结果却一无所获. 最后, 一一关机, 原来是我一直打开的 Skype. 尽管这被证明是无害的, 但我很高兴我有 tcpdump 向我指出这一点.
读取原始输出
如您所见, 即使从 tcpdump 读取所谓的 "人类可读" 输出也可能有点神秘. 看看下面的例子, 一个我刚刚从转储中捞出的随机数据包:
代码:
17:26:22.924493 IP www.Linux.org.www > test.Linux.org.34365: P 2845:3739(894) ack 1624 win 9648
我们拥有的是对 www.Linux.org 的网络服务器请求. 在时间戳之后, 您会注意到主机名末尾的 .www(表示端口 80). 这将被发送到请求主机 test.Linux.org 的端口 34365.'P' 代表 TCP "oush" 功能. 这意味着应该立即发送数据. 在后面的数字中, 2845:3739(894),2845 标记了第一个数据包的八位字节数. 数字 3739 是数据包发送的最后一个字节的编号加 1. 数字 894 是发送的数据包的长度. 上面写着:"ack 1624" 的部分是 "acknowledge" 的 TCP 术语 -- 即数据包已被接受, 接下来预期的数据包号是 1624. 之后, 我们看到 "win 9648" 发送主机等待窗口大小为 9648 个八位字节的数据包. 这后面是时间戳.
现在, 如果您认为这有点难以解释, 如果您使用 -x 选项, 它将在十六进制输出中包含数据包内容. 在这里, 您需要埃及学家来解释输出:
代码:
- 18:12:45.149977 IP www.Linux.org.www > test.Linux.org.34536: . 1:1449(1448)
- ack 487 win 6432
- 0x0000: 4500 05dc 6a81 4000 4006 493b c0a8 0006 E...j.@.@.I;....
- 0x0010: c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af .....P.....G.3..
- 0x0020: 8010 1920 b4d9 0000 0101 080a 13a0 7a77 ..............zw
- 0x0030: 019e 5f14 4854 5450 2f31 2e31 2032 3030 .._.HTTP/1.1.200
- 0x0040: 204f 4b0d 0a44 6174 653a 2054 6875 2c20 .OK..Date:.Thu,.
- 0x0050: 3135
我们可以从输出中收集到, 这是一个 HTTP 请求. 至于其余的, 它不是人类可读的, 但我们很容易知道这是一个合法的数据包. 使用这种格式的另一个好处是, 即使我们不能准确地解释这个数据包发生了什么, 我们也可以将它发送给可能能够理解的人. 最后, 这是未经任何过滤就通过网络传输的原始数据.
来源: http://developer.51cto.com/art/202201/699122.htm